Sécurité des données

Dernière mise à jour le 27/09/2019

Dernière mise à jour le 27/09/2019

Backups/Reprises après sinistre

•      Nous sauvegardons toutes nos bases de données pendant 60 jours à raison d’une sauvegarde par jour. Nous avons également une sauvegarde de chaque base de données toutes les 30 minutes et conservée 48h pour limiter au maximum les pertes de données en cas de sinistre.

•      L’ensemble des fichiers d’imports sont également sauvegardés à raison d’une sauvegarde par jour. Nous sauvegardons l’intégralité de vos fichiers d’imports sur un historique de 10 ans.

•      Les sauvegardes sont conservées sur deux datacenters, pays et fournisseurs différents afin de prévenir toute défaillance venant d’un fournisseur (OVH et Google en Europe).

•      Les emplacements de nos serveurs et les coordonnées de nos prestataires sont disponibles dans nos CGU.

•      En cas de défaillance matériel d’un de nos prestataires, nos serveurs peuvent êtres migrés en quelques minutes sur une machine opérationnelle.

Sécurité de la base de données

•      L’application est conçue pour traiter chaque requête via une table de sécurité qui empêche toute erreur et tout accès à vos données sans autorisation.

•      Les tables cruciales comme celles contenant vos données de reporting sont totalement séparées de celles des autres clients.

Sécurité des mots de passe

•     Les mots de passe clients sont hashés et salés plusieurs fois avec des algorithmes différents.

•     Personne chez Qotid ne peut accéder à votre mot de passe ni déchiffrer, votre seul moyen de le retrouver est de le réinitialiser.

•     Les identifiants sont transmis au serveur de manière sécurisée via en HTTPS et sont indéchiffrables par un tiers. Il faut cependant rester vigilant sur la manière dont vos mots de passe sont stockés. Nous vous conseillons d’utiliser un outil de génération de mot de passe (Dashlane par exemple). 

•     Les cookies de connexion sont stockés sur les ordinateurs clients en httpOnly ce qui limite le risque de vol de tokens.

•     L'accès au compte Qotid est bloqué pendant 30 minutes au bout de 3 tentatives de connexion infructueuses. Un email est envoyé au propriétaire du compte pour lui signaler de ces tentatives infructueuses.

Accès par nos employés

•     Les équipes de support de Qotid peuvent accéder à votre compte via un compte administrateur afin de résoudre votre problème plus efficacement. 

•     Le personnel de Qotid n'a pas accès à votre mot de passe et ne peut pas le récupérer pour vous. Votre seule option en cas de perte est de le réinitialiser.

•     Pour résoudre les problèmes liés à l'application, l'équipe de développement a accès à votre compte de manière anonymisée, toutes les informations personnelles qui pourraient vous identifier ou identifier vos établissements sont remplacées par des données factices pour éviter tout préjudice.

Sécurité du système

•    Tous les serveurs de Qotid sont maintenus à jour et aux dernières normes de sécurité.

•    L'accès aux serveurs est limité à quelques personnes uniquement, ces derniers doivent se connecter via VPN à un réseau interne de Qotid et utiliser une clé SSH personnelle et chiffrée pour se connecter aux serveurs depuis un ordinateur professionnel avec chiffrement du disque dur.

Sécurité des informations bancaires

•     Nous ne stockons pas directement vos données bancaires (identifiant et mot de passe), la sécurisation de vos données bancaires appartient à Powens (il faut consulter leur site internet)

Chiffrement des données

•     Toutes les données transitent de manière sécurisée en HTTPS via un chiffrement SSL ECC 256 bits. Ce sont les protocoles de sécurité recommandés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information)

•     Nous maintenons à jour nos serveurs et certificats pour garantir un niveau optimal de sécurité Grade A sur SSL Labs.

Défense du réseau

•     Google Cloud propose une infrastructure réseau conséquente avec des protections avancées telles que la mitigation d’attaques DDOS, la détection et le blocage de requêtes frauduleuses empêchant la perturbation de la disponibilité de nos services.

•     Nos serveurs sont protégés derrière des pare-feux permettant de bloquer les potentielles attaques.

 •    Nous filtrons également les requêtes http en nous basant sur des listes publiques d'adresses ip reconnues comme malfaisantes.